La Sectorial de TIC de la Conferencia de Rectores de Universidades Españolas ha abordado hoy 20 de mayo un interesante coloquio entre los centros de educación superior que se han visto afectados por ciberataques a sus instituciones, repasando lo sucedido y, sobre todo, señalando aspectos de mejora con vistas al futuro. Participaron en esta sesión Clara Beleña, de Universidat Oberta de Catalunya (UOC); Gonzal Badenes, de la Autónoma de Barcelona; y Andrés Prado, de Castilla La Mancha. Los argumentos expuestos suponen una puesta en común para compartir estrategias y soluciones entre los centros de educación superior de todo el país, reunidos ayer y hoy en la Universidad de La Laguna.
El ataque a la UOC fue un 2 de enero de madrugada, a comienzos de este año. A las siete de la mañana se detectó que se estaban cayendo los servidores y las muestras de archivos encriptados. “Se tomó la decisión de aislar los servidores afectados y sobre el mediodía ya teníamos este perímetro separado del resto. Se paró el campus, y dado que somos una universidad completamente virtual los estudiantes se quedaron sin acceder a nada”, relató Beleña. Se trató en aquel entonces de un hecho inusitado; “ahora te lo esperas en cualquier momento”, dijo.
El ataque fue sobre todo a los servidores soportados por Linux, pero aquí lo importante “es saber por dónde han entrado para restaurar limpio y no afectar a todo”. La Unviersitat Oberta de Catalunya pidió ayuda externa, sobre todo de la Agencia Catalana de Ciberseguridad, a los Mossos de Esquadra y a una empresa especializada en estos casos. “Hay que decidir qué papel van a jugar los agentes que cooperan eternamente, para definir roles y no pisarnos”. Igualmente ha de implicarse el equipo de comunicación y, evidentemente, la dirección de la universidad.
“Lo mejor que hicimos fueron las acciones de contención”, expuso la ponente. “En estos casos hay que actuar muy rápido, no podemos esperar a reunirnos y decidir, y desde luego, contar con las personas responsables. De hecho, paramos la universidad en una decisión tomada por tres personas”. Siempre se puede ser más eficientes en la restauración de los servicios, añadió, y quizá habría que dotar de mayor autonomía a algunos servicios TIC, expuso la experta. “Nos hemos dado cuenta de que es muy importante segmentar los servicios, para así focalizar los perímetros cuando sea necesario y que los atacantes no se puedan mover hacia otros lados de la unviersidad”.
En el caso de la Universidad Autónoma de Barcelona, el ciberataque se produjo el domingo del puente de octubre de 2021. “Se detectó la caída de servicios, afectando al cluster de virtualización y nos dimos cuenta de que todo se venía abajo”, relató Gonzal Badenes. “A media mañana ya teníamos al equipo trabajando, con ayuda de una empresa externa y de la Agencia Catalana de Ciberseguridad. La decisión rápida fue desconectar la red. Cometimos el error, con los nervios, de parar algunas máquinas, en lugar de desconectarlas”.
Badenes señaló que en esos momentos tan críticos hay que tener muy claro a quién llamar, y también se ha de ser muy transparente. “Enseguida empezaron a corren muchos rumores, incluso con cifras pagadas por el rescate, pero lo cierto es que nunca contactamos con los delincuentes”.
Reconstruyeron el cluster de bases de datos, aunque no tuvieran evidencias de que hubiesen entrado. “Lo cierto es que fue clave reconstruir desde cero todas las infraestructuras críticas. Estábamos desplegando doble factor de autenticación, pero nos entraron a través del acceso por VPN. Hemos aprendido que hay que exigirlo en todas partes”.
De positivo Badenes saca la reconstrucción desde cero, la doble autenticación, y el reforzamiento del equipo de seguridad, así como de las copias de back-ups con desconexión de la red. También señaló como muy pertinente la segmentación de la red.
La Universidad Castilla La Mancha fue la tercera en intervenir en el foro de esta mañana, también con experiencia en ciberataque en abril de 2021. “Nos hemos dado cuenta ahora de que la disponibilidad 24×7 resulta clave para tener una respuesta rápida. La primera decisión se toma rápidamente, y en menos de una hora toda la universidad estaba ya desconectada. El siguiente paso fue desplazarse al campus”, señaló Andrés Prado.
“Confiamos en que en nuestros campus no habrá grandes incidentes porque para eso tenemos un equipo de seguridad, pero tenemos que pensar que lo digital va de otra manera”. De hecho, habló de un ataque selectivo, porque había máquinas que seguían funcionando. “Cuando ves la universidad cerrada digitalmente sientes que ha sido como un ataque terrorista, y embarga una sensación de soledad”.
Una mala decisión es no tener bien definido a quién llamar para atajar una crisis como esta, y la mejor es entender que se trata de un problema que nos supera, y, a partir de ahí, empezar a organizar internamente. “Hay que tener la confianza directa de la dirección de la organización”. El principio base debe ser confianza cero, aseveró el ponente, y por eso hay que minimizar la exposición de los servicios. “Nosotros hemos cerrado todo y abrimos bajo demanda, lo que nos ha supuesto muchas presiones internas de todo tipo”.
Hay pocas compañías que ofrezcan ciberseguros, añadieron, son muy caros y no cubren todos los aspectos necesarios. Por otro lado, es importante contar con un experto de analítica forense que señale con celeridad qué cosas clave hay que ejecutar de inmediato.
Conclusiones y clausura
Tras el coloquio de la mañana se cerró la sesión con una mesa redonda moderada por la rectora de la Universidad de La Laguna, Rosa Aguilar, acompañada de Ismael García Varea, vicerrector de Transformación y Estrategia Digital de la Universidad de Castilla La Mancha; Pedro Miguel Ruiz Martínez, vicerrector de Estrategia y Universidad Digital de la Universidad de Murcia y Mario Pizcueta Martínez, del Centro Criptológico Nacional.
La ciberseguridad no es otra cosa que la gestión de riesgos, aseguró Ruiz Martínez, y ya forma parte de la mesa de los consejos de dirección de las universidades. La Universidad de Murcia cuenta con un comité de crisis en esta materia en la que hay incluso estudiantes, “porque el alumnado debe estar presente en todos los procesos de cambio”.
Castilla La Mancha se decantó en su intervención por hablar de un proceso abierto y transparente de la comunicación ejercida tras la crisis, tanto hacia dentro como hacia fuera, asunto por el cual parece que la comunidad universitaria es hoy más empática hacia estos asuntos que antes. “Cuando nos atacaron, a los tres días ya habíamos recuperado el correo electrónico y también comenzaron a restablecerse servicios críticos. Lo cierto es que teníamos previsto una serie de medias de seguridad, que, con esta crisis, las hemos adelantado. Hoy la comunidad universitaria está más mentalizada ante este tipo de vulnerabilidades, y este tipo de foros sirve para apoyar a todos los miembros de la red”.
Por su parte, el representante del CNN señaló que su organización está para ayudar a las administraciones públicas.” El sector de la ciberseguridad avanza a pasos agigantados y va mucho más rápido que las normas de seguridad”, agregó. La rectora, por su parte, sostuvo que las universidades tienen que apostar por la ciberseguridad, creando una cultura de universidad responsable, ayudados además por el Centro Criptológico Nacional.
Tras estas últimas intervenciones se clausuró la jornada con la participación nuevamente del rector de Jaén y presidente de esta sectorial, Juan Gómez, quien declaró que en este foro “existe una enorme dosis de colaboración, no nos guardamos nada. Así se construye el sistema universitario y se le dota de mayor fortaleza”.
